O impacto dos ciberataques nas empresas de capital aberto: perdas de até 7,5% no valor de mercado
De acordo com um estudo recente publicado pela Harvard Business Review em maio deste ano, quando uma empresa de capital aberto é alvo de um ciberataque bem-sucedido, o efeito é imediato e devastador. Independentemente da tendência anterior do mercado, o preço das ações da empresa cai rapidamente, resultando em uma queda média de 7,5% no valor de mercado, juntamente com uma perda média de capitalização de mercado de aproximadamente US$ 5,4 bilhões.
Análises gráficas revelam que o impacto negativo sobre o valor de mercado das empresas atacadas não é apenas de curto prazo, mas também se estende ao médio prazo. Segundo um levantamento realizado pelo Security Design Lab (SDL), uma rede global de pesquisa e desenvolvimento em cibersegurança, a maior queda nas ações normalmente ocorre no 59º dia após o ataque. Além disso, um ano após o incidente, cerca de 7 em cada 10 empresas ainda enfrentam dificuldades para se recuperar e alcançar os níveis de seus respectivos setores de atuação.
Um fator crucial para a recuperação das empresas é o nível de conformidade com as melhores práticas de segurança cibernética e com a legislação de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD). Empresas que implementam medidas preventivas e reativas robustas, além de investirem significativamente em segurança cibernética e conformidade, conseguem manter um desempenho mais alinhado com o benchmark do setor um ano após os ciberataques. Por outro lado, empresas com baixo nível de conformidade tendem a apresentar um declínio máximo até 62% maior em comparação ao grupo de empresas com alto nível de conformidade.
Os dados compilados pelo SDL também revelam que empresas que experimentam violações significativas de dados têm um desempenho inferior ao índice NASDAQ em média 8,6% após um ano do incidente, podendo chegar a 11,9% após dois anos. Essa queda no desempenho é ilustrada por exemplos reais, como o caso da Medibank na Austrália, cujas ações despencaram 15% após um ataque cibernético e permanecem abaixo do preço pré-ataque. No Brasil, o Grupo Fleury e as Lojas Renner foram alvos de ciberataques, resultando em quedas significativas no preço de suas ações.
Diante desses impactos negativos, é importante considerar a segurança cibernética não apenas como um custo, mas como um investimento essencial para as empresas. O custo médio global de uma violação de dados atingiu US$ 4,35 milhões em 2022 e continua aumentando. Além disso, empresas que sofrem violações de dados podem enfrentar despesas adicionais com auditoria, perda de receitas, honorários advocatícios e até mesmo rebaixamento de sua classificação de crédito, afetando sua capacidade de garantir financiamento a um custo acessível.
Os crimes cibernéticos têm um custo significativo para a economia mundial, totalizando mais de US$1 trilhão por ano, representando aproximadamente 1% do PIB global, de acordo com um relatório elaborado pela McAfee Corp. e pelo Centro de Estudos Estratégicos e Internacionais (CSIS). No caso de violações de dados, os custos médios estão atingindo níveis recordes, prevendo-se que ultrapassem US$ 5 milhões em 2023, de acordo com a IBM Security.
No contexto da América Latina, o Brasil foi o segundo país mais afetado em 2022, com mais de 103 bilhões de tentativas de ataques cibernéticos, representando um aumento de 16% em relação a 2021. Apenas o México registrou um número maior, com 187 bilhões de tentativas, de acordo com dados do FortiGuard Labs.
Diante desse cenário preocupante, o Security Design Lab (SDL), em parceria com a Associação Brasileira das Companhias Abertas (Abrasca), iniciou uma pesquisa para avaliar a segurança cibernética nas empresas de capital aberto do Brasil. O projeto Cyber Score tem como objetivo avaliar a maturidade das empresas nesse aspecto e fornecer suporte técnico e de conformidade para disseminar a importância da cibersegurança entre os executivos, conselhos de administração e acionistas. Os resultados da pesquisa também podem contribuir para o desenvolvimento de políticas públicas voltadas à segurança das empresas e dos investidores.
É evidente que a ameaça dos ciberataques e suas consequências financeiras são uma realidade presente no mundo empresarial. Empresas que não priorizam a segurança cibernética correm o risco de sofrer perdas significativas no valor de mercado, dificuldades de recuperação e prejuízos financeiros, afetando não apenas a organização em si, mas também sua cadeia de suprimentos e a confiança dos investidores. Investir em medidas preventivas, políticas de conformidade e cibersegurança é essencial para proteger o valor das empresas e mitigar os riscos associados aos ciberataques.
Jorge Alexandre Fagundes